V pluginu WordPress s více než 700 tisíci aktivními instalacemi, zranitelnost, která umožňuje na serveru spouštět libovolné příkazy a skripty PHP. Problém se objevuje ve Správci souborů ve verzích 6.0 až 6.8 a je vyřešen ve verzi 6.9.
Zásuvný modul Správce souborů poskytuje nástroje pro správu souborů pro správce WordPress pomocí přiložené knihovny pro manipulaci se soubory na nízké úrovni . Zdrojový kód knihovny elFinder obsahuje soubory s příklady kódu, které jsou dodávány v pracovním adresáři s příponou „.dist“. Chyba zabezpečení je způsobena tím, že při odeslání knihovny byl soubor „connector.minimal.php.dist“ přejmenován na „connector.minimal.php“ a stal se dostupným pro spuštění při odesílání externích požadavků. Zadaný skript vám umožňuje provádět jakékoli operace se soubory (nahrát, otevřít, upravit, přejmenovat, rm atd.), protože jeho parametry jsou předány funkci run() hlavního pluginu, kterou lze nahradit soubory PHP ve WordPressu a spusťte libovolný kód.
Nebezpečí je ještě horší, že zranitelnost již existuje k provádění automatizovaných útoků, při kterých je do adresáře „plugins/wp-file-manager/lib/files/“ pomocí příkazu „upload“ nahrán obrázek obsahující PHP kód, který je následně přejmenován na PHP skript s názvem vybrané náhodně a obsahuje text „hard“ nebo „x.“, například hardfork.php, hardfind.php, x.php atd.). Po spuštění přidá kód PHP do souborů /wp-admin/admin-ajax.php a /wp-includes/user.php zadní vrátka, čímž útočníkům poskytne přístup k rozhraní správce webu. Operace se provádí odesláním požadavku POST do souboru „wp-file-manager/lib/php/connector.minimal.php“.
Je pozoruhodné, že po hacku jsou kromě opuštění zadních vrátek provedeny změny na ochranu dalších volání do souboru connector.minimal.php, který obsahuje zranitelnost, aby se zablokovala možnost útoku dalších útočníků na server.
První pokusy o útok byly zjištěny 1. září v 7 hodin ráno (UTC). V
12:33 (UTC) vývojáři pluginu File Manager vydali opravu. Podle společnosti Wordfence, která zranitelnost identifikovala, jejich firewall zablokoval asi 450 tisíc pokusů o zneužití zranitelnosti denně. Síťová kontrola ukázala, že 52 % webů používajících tento plugin ještě nebylo aktualizováno a zůstávají zranitelné. Po instalaci aktualizace má smysl zkontrolovat protokol http serveru pro volání skriptu „connector.minimal.php“, abyste zjistili, zda byl systém kompromitován.
Navíc si můžete poznamenat opravné vydání který navrhl .
Zdroj: opennet.ru